在恶意软件的作者中,有一种日益增长的趋势,即把合法的应用程序合并到他们的恶意包中。这次,我们分析了恶意软件下载合法软件ffmpeg.使用这个应用程序,这个用。net编写的简单间谍软件有了一个强大的特性。大多数恶意软件只要定期在受感染的机器上发送屏幕截图就足够了。这种恶意软件更进一步,记录完整的视频,监视用户活动。在这篇文章中,我们将看看这个样本所拥有的其他威胁。
首先提到的是恶意软件家族于2015年被MalwarHunterTeam发现.最近,一股新的浪潮正在蔓延。
分析样品
- 2 a07346045558f49cad9da0d249963f1使滴下的东西(JS)
- 049年af19db6ddd998ac94be3147050217-删除可执行文件(c#)
下载插件:
- e907ebeda7d6fd7f0017a6fb048c4d23——remotedesktop.dll
- d628d2a9726b777961f2d1346f988767——processmanager.dll
行为分析
JS文件将包含的可执行文件放到%TEMP%文件夹中,然后运行它。可执行文件以随机名称安装自己,在%APPDATA%中创建自己的文件夹。持久性是在运行键的帮助下实现的。附加的恶意软件拷贝也会被放在启动文件夹中:
在运行过程中,可执行文件在它的安装文件夹中创建。tmp文件。文件内容没有加密,如果我们看里面,我们可以注意到它是保存击键和记录运行的应用程序:
我们注意到的另一件有趣的事情是,恶意软件下载合法的应用程序:Rar.exe,ffmpeg.exe和相关的dll:DShowNet.dll,DirectX.Capture.dll
该恶意软件已经被观察到在运行时关闭和删除一些应用程序。在测试中,它移除了ProcessExplorer和baretail从被攻击的机器上。
网络通信
恶意软件使用98端口通过TCP与CnC服务器通信。
服务器向客户端发送一个命令" idjamel ",客户端响应该命令并收集有关受害机器的基本信息,如机器名/用户名、安装的操作系统和正在运行的进程列表。信标完成后,服务器将配置发送给客户端,即目标银行的列表。
Bot将配置保存在注册表中:
然后,CnC发送一组Base64编码的PE文件。每个文件的内容都以文件名作为前缀。非恶意的helper二进制文件cab可以通过关键字“djamelreference”来标识。恶意插件由" djamelplugin "识别。
下载DShowNET.dll:
下载插件-remotedesktop.dll(e907ebeda7d6fd7f0017a6fb048c4d23):
的ffmpeg应用程序从URL下载(由CnC指向):
在这个地址后面,我们可以看到一些虚拟页面,可能是攻击者拥有的。脸书的“赞”按钮指向“AnonymousBr4zil”账户:
机器人向服务器报告正在运行的应用程序,即从标题栏发送Base64编码的文本:
例子:
awt | | UHJvY2VzcyBFeHBsb3JlciAtIFN5c2ludGVybmFsczogd3d3LnN5c2ludGVybmFscy5jb20gW3Rlc3RtYWNoaW5lXHRlc3Rlcl0 = djamel
解码:
进程资源管理器- Sysinternals: www.sysinternals.com [testmachine\tester]
内部
拆包
样品是在……的帮助下包装的CloudProtector-(感谢@MalwareHunterTeam的提示)。在我们前面分析的其他一些情况下使用的是相同的保护(阅读更多信息)在这里).与前面的示例一样,它使用自定义算法和配置中提供的密钥解密有效负载。然后,在RunPE技术(也称为processholfollowing)的帮助下,将解密的可执行文件加载到内存中。
的核心
未打包的有效负载是包含所有恶意特性的层。它没有进一步混淆,所以我们可以很容易地反编译它(即使用dnSpy)并读取代码。
我们可以看到一些具有描述性名称的类,例如ProtectMe、ScreemCapture、SocketClient。
乍一看,我们可以看出这个恶意软件的目的:监视用户并从后门入侵受感染的机器。
Form1类是主要的模块,负责与CnC沟通,协调动作。它包含用于安装恶意软件的硬编码数据和CnC服务器的地址:
37.187.92.171:98
受害者名称从二进制文件中复制并保存在注册表项中:
如果机器人检测到e-Carte Bleue(一种法国支付卡)软件,它会将相应的字符串添加到标识符中,并向服务器发送额外的信息:
每个模块独立运行,在一个新的线程中启动:
视频录制
我们可以看到负责下载ffmpeg应用程序的代码片段:
恶意软件作者的主要目的是监视用户的银行活动。这就是为什么,当受害者打开一个与网上银行相关的网站时,视频记录事件就会被触发。目标列表由CnC提供,并保存在注册表中的“ve”键下,例如:
定期检查列表中的目标是否已在浏览器中打开。如果它被检测到,恶意软件部署录像机:
函数“VeifyingTime”将标题栏与提供的字符串进行比较。
视频是在ffmpeg应用程序:
之后,他们被发送到CnC,编码在Base64:
该恶意软件还可以制作简单的屏幕截图,并保存为JPG格式。图片和捕获的日志被Rar应用程序定期压缩,然后也发送到CnC:
键盘记录器
kyl类名代表键盘记录程序:
它还具有枚举打开的窗口的能力:
这个类负责创建前面提到的。tmp文件:
保护我
这个类负责禁用可能被用于监控恶意软件活动的应用程序:
插件
bot的基本功能可以通过其他插件进行扩展,从CnC下载:
在观察到的例子中,bot下载了两个插件,赋予了RAT病毒的典型功能:
processmanager.dl,写于2015年:
和remotedesktop.dll,写于2016年:
与主模块和前一个插件相反,remotedesk.dll是混淆视听。它的类名和变量名不再有意义:
结论
这个恶意软件是由一个没有经验的人编写的。二进制和通信协议都没有很好地混淆。使用过的封隔器是众所周知的,很容易破坏。然而,恶意软件功能丰富,它似乎是积极维护。它监视受害者和从后门窃取被攻击机器的能力不应被忽视,因为即使是一个简单的威胁行为者,当被忽视时也会造成很多损害。
这个恶意软件被必威平台APP作为后门。DuBled.
评论